dtb – Datenschutz- und Technologieberatung (Hrsg.)
SAP® kompakt für den Betriebsrat
Verstehen, mitbestimmen und am System prüfen
aktiv im Betriebsrat
dtb –Datenschutz- und Technologieberatung (Hrsg.)
SAP® kompakt
für den Betriebsrat
Verstehen, mitbestimmen und am System prüfen
Autoren:
Prof. Dr. Wolfgang Däubler
Dr. Eberhard Kiesche
Detlev Sachse
Matthias Wilke
Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Buch:
© 2014 by Bund-Verlag GmbH, Frankfurt am Main
Herstellung: Kerstin Wilke
Umschlag: eigensein, Frankfurt am Main
Umschlagfoto: GettyImages_157169095
Satz: Satzbetrieb Schäper, Bonn
Druck: MediaPrint, Paderborn
Printed in Germany 2014
978-3-7663-6286-5
E-Book:
© 2014 by Bund-Verlag GmbH, Frankfurt am Main
Produktion: Satzweiss.com, Saarbrücken
ISBN 978-3-7663-8362-4
Alle Rechte vorbehalten,
insbesondere die des öffentlichen Vortrags,
der Rundfunksendung
und der Fernsehausstrahlung,
der fotomechanischen Wiedergabe,
auch einzelner Teile.
www.bund-verlag.de
Dieser Leitfaden wurde im Jahr 2012 von einem Projektteam erarbeitet. Die Screenshots wurden durch Detlev Sachse bereitgestellt, unter Nutzung von SAP R/3-Systemen der Release-Stände 4.5, 4.6C und des SAP R/3 Enterprise 4.7, SAP ERP 6.0 sowie NetWeaver 2004s BI der Firma AGM mbH, unter Zuhilfenahme der SAP Online-Dokumentation zu diesen Release-Ständen, auf der Grundlage der Basistechnologie des SAP NetWeaver, der SAP Business Suite bzw. anderer zur Dokumentationserarbeitung notwendigen Softwareprodukten.
In dieser Publikation wird auf Produkte der SAP AG Bezug genommen. SAP, R/3, SAP NetWeaver, Duet, ByDesign, PartnerEdge ByDesign, Clear Enterprise, SAP BusinessObjects Explorer und weitere im Text erwähnte SAP-Produkte und Dienstleistungen sowie die entsprechenden Logos sind Marken oder eingetragene Marken der SAP AG in Deutschland und anderen Ländern.
Business Objects und das Business-Objects-Logo, BusinessObjects, Crystal Reports, Crystal Decisions, Web Intelligence, Xcelsius und andere im Text erwähnte Business-Objects-Produkte und Dienstleistungen sowie die entsprechenden Logos sind Marken oder eingetragene Marken der SAP France in den USA und anderen Ländern.
Die SAP AG ist weder Autor noch Herausgeber dieser Publikation und ist für deren Inhalt nicht verantwortlich. Der SAP-Konzern übernimmt keinerlei Haftung oder Garantie für Fehler oder Unvollständigkeiten in dieser Publikation. Der SAP-Konzern steht lediglich für Produkte und Dienstleistungen nach der Maßgabe ein, die in der Vereinbarung über die jeweiligen Produkte und Dienstleistungen ausdrücklich geregelt ist. Aus den in dieser Publikation enthaltenen Informationen ergibt sich keine weiterführende Haftung.
Bei der Zusammenstellung der Inhalte wurde mit größter Sorgfalt vorgegangen. Trotzdem können Fehler nicht vollständig ausgeschlossen werden. Herausgeber und Autoren übernehmen keine Haftung für die Aktualität, Richtigkeit und Vollständigkeit der Inhalte des Werkes. Für fehlerhafte Angaben und deren Folgen wird weder eine juristische Verantwortung noch irgendeine Haftung übernommen. Rechts- und Schadensersatzansprüche sind ausgeschlossen.
Das Werk einschließlich aller Inhalte ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Nachdruck (auch auszugsweise) sowie Verarbeitung, Vervielfältigung und Verbreitung, auch mit Hilfe elektronischer Systeme jeglicher Art, ist nur mit schriftlicher Genehmigung des Herausgebers gestattet.
Nicht nur bei der Einführung von SAP, sondern auch beim täglichen Umgang mit der komplexen Materie stoßen Interessenvertreter zuweilen an ihre Grenzen. Das muss nicht sein! Es gibt überschaubare Mittel und Wege zu überprüfen, ob beispielsweise Bestimmungen der SAP-Vereinbarung vom Arbeitgeber eingehalten werden.
Aus diesem Gedanken heraus entstand die Idee zu diesem Buch. Denn bislang gab es hauptsächlich Broschüren und Informationen zum Thema »Prüfung von SAP-Systemen«, die sich mit teuren und aufwendigen (und durchaus guten) Prüf-Tools befassen.
Unser Ansatz ist ein völlig anderer: Wir möchten Betriebsräten im Sinne von »Hilfe zur Selbsthilfe« einen Praxisleitfaden an die Hand geben, der selbsterklärungsfähig, nachvollziehbar und anwendbar ist und keine großen Vorkenntnisse voraussetzt.
Für Interessenvertreter ist es hierfür wichtig, einen Einblick in die komplexe Materie »Überprüfung eines SAP-Systems« zu erhalten. Damit dies gelingt, haben wir im vorliegenden Buch wichtige Bausteine zusammengetragen: Hierzu gehören Informationen zur Entwicklung des Produktes SAP, ein Einblick in die Anwendungskomponenten (früher Module) sowie die Beleuchtung von SAP-Software aus praxisnaher, arbeitsrechtlicher Sicht. Zudem haben wir die Berechtigungskonzeption der SAP-Software am Beispiel SAP ERP 5.0/6.0 sowie erforderliche Datenschutzanforderungen erörtert.
Im Vordergrund stehen Handlungsmöglichkeiten, wie die Einhaltung von Betriebs- und Dienstvereinbarungen zu SAP-Software überprüft werden kann. Es geht uns unter anderem darum, mehr Klarheit in die Begriffe der SAP-Produkte zu bringen und praxisnah aufzuzeigen, wie eine Prüfung eines SAP-Systems durch die Interessenvertretung gelingt.
Wird SAP ERP im Betrieb eingeführt, dann stellt sich die Situation häufig wie folgt dar: Betriebsräte lassen sich schulen und stellen dann Forderungen an den Einsatz von SAP ERP auf. Ihr Entwurf einer Vereinbarung wird zunächst langwierig mit dem Arbeitgeber verhandelt, bis er endlich in Kraft tritt. Geschafft! Geschafft? Nein, denn damit fängt die Arbeit der Interessenvertretungen erst richtig an. In der Vereinbarung ist nämlich in der Regel festgelegt, dass Betriebsräte am System prüfen können, ob die Bestimmungen der SAP-Vereinbarung vom Arbeitgeber eingehalten werden. Doch diese Aufgabe stellt die Interessenvertretungen in der Praxis häufig vor große Probleme.
Betriebsräte haben bei der Einführung und Anwendung von SAP ERP gemäß § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht. Denn SAP ERP, und insbesondere die Personalkomponente HR/HCM, ist eine technische Überwachungseinrichtung, die sich objektiv zur Leistungs- und Verhaltenskontrolle eignet. Dabei müssen selbstverständlich die Bestimmungen des Bundesdatenschutzgesetzes (BDSG) und der entsprechenden Länderdatenschutzgesetze eingehalten werden.
Rahmenvereinbarung zu SAP ERP
Werden im Unternehmen mehrere Komponenten von SAP ERP (z.B. Rechnungswesen und Personal) eingesetzt, bietet sich oftmals der Abschluss einer Rahmenvereinbarung zu SAP ERP an.
In der Rahmenvereinbarung lassen sich grundsätzliche Themen regeln, wie z.B.
•der Datenschutz,
•der Ausschluss von Leistungs- und Verhaltenskontrollen,
•der Gesundheitsschutz am Bildschirmarbeitsplatz und
•die Qualifizierung.
In den noch erforderlichen Einzelvereinbarungen muss dann nicht wieder alles aufs Neue geregelt werden. Oftmals wird aber auch nur eine Einzelvereinbarung zu SAP ERP HR/HCM abgeschlossen und auf die Regelung weiterer SAP-Komponenten und Lösungen verzichtet.
Grundlagen für eine spätere Kontrolle
Sowohl in einer Rahmenvereinbarung als auch in einer Einzelvereinbarung, beispielsweise zu SAP ERP HR, müssen die Grundlagen für eine spätere Kontrolle durch die Interessenvertretung gelegt werden. Hierbei sind insbesondere die folgenden Aspekte zu beachten:
•Die Betriebsvereinbarung ist klar und systematisch zu strukturieren.
•Es muss eindeutig dokumentiert werden, welche Komponenten und Lösungen von SAP ERP im Unternehmen zum Zeitpunkt des Abschlusses der SAP-Vereinbarung eingesetzt werden.
•Es muss der exakte Releasestand der Softwarekomponenten von SAP ERP zum Zeitpunkt des Abschlusses der Betriebsvereinbarung bezeichnet werden, damit Versionswechsel deutlich erkennbar und frühzeitig mitbestimmt werden können.
•Soll auf Dauer nachhaltig kontrolliert werden, muss dokumentiert werden, welche SAP-Systeme wo und auf welcher Hardware eingesetzt werden. Keinesfalls kann auf eine ausreichende Systemdokumentation verzichtet werden (unter anderem Serververbund, Konfigurationsübersicht).
Alle SAP-Systeme erfassen
In großen Unternehmen werden zum Teil mehr als 50 SAP-Systeme eingesetzt. Daher ist es wichtig, in der Vereinbarung die jeweilige Systemlandschaft des Unternehmens abzubilden. So ist beispielsweise immer auch das Qualitätsund Produktivsystem zu dokumentieren. Auch zum Entwicklungssystem sind erforderliche Bestimmungen in der Vereinbarung aufzunehmen, wenn dort personenbezogene Daten der Beschäftigten verarbeitet werden. Im Entwicklungssystem arbeiten in der Regel externe Berater, die Einblick in personenbezogene Daten der Beschäftigten erhalten könnten.
Es sollte festgelegt werden, welche Mandanten vom Unternehmen in der Produktivphase genutzt werden. Auch der Mandant auf einem SAP-Entwicklungs- oder Testsystem kann als Prüfbereich für eine Kontrolle durch Interessenvertretungen durchaus interessant sein.
Mit Positivkatalogen arbeiten
Die SAP-Vereinbarung muss eindeutig dokumentieren, was erlaubt ist und was nicht. Dabei ist mit Positivkatalogen zu arbeiten –nur so können die schier unendlichen Nutzungsmöglichkeiten von SAP ERP begrenzt werden. Beispiele hierfür sind Screenshots zu allen Infotypen mit Datenfeldern und Zweckbestimmung, Auswertungen, Berechtigungen, Schnittstellen, Zweckbestimmungen und Aufbewahrungsfristen. Nicht genutzte Datenfelder und Sub-typen in den Infotypen (SAP HCM/HR) müssen ausgeblendet werden.
In der Betriebsvereinbarung müssen zudem alle Regeln zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten der Beschäftigten eindeutig und auf ihre Einhaltung überprüfbar formuliert sein. Alle Einstellungen und Verfahren in den SAP-Systemen müssen nachvollziehbar dokumentiert sein. Freie Textfelder sind zu untersagen bzw. für Suchfunktionen zu sperren.
SAP Business Workflows machen Beschäftigte gläsern
Betriebsräte sollten möglichst den Einsatz von Workflows, die automatisiert arbeitsteilige und betriebswirtschaftliche Arbeitsabläufe in SAP ERP strukturieren, in der Vereinbarung regeln. Dies wird oftmals vergessen. Workflows können betriebliche Eskalationsprozeduren enthalten und bei Konflikten schlimmstenfalls auch für Leistungs- und Verhaltenskontrollen genutzt werden.
Workflows sind nach § 87 Abs. 1 Nr. 6 BetrVG mitbestimmungspflichtig, grundsätzlich zu verhindern sind sie nicht. Aber sie können in ihren Auswirkungen begrenzt werden. Es ist noch interessant zu wissen, dass arbeitsrechtliche Maßnahmen aufgrund der Auswertung von Workflow-Abläufen ohne Mitbestimmung der Interessenvertretungen unzulässig sind. Entsprechende Informationen dürfen nicht für arbeitsrechtliche Maßnahmen verwendet werden.
Berechtigungskonzept als Projekt
Das Berechtigungskonzept sollte detailliert und den Vorgaben von SAP entsprechend nachvollziehbar ausgearbeitet werden. Ohne entsprechende Arbeiten in einem SAP-Teilprojekt zum Berechtigungskonzept kann kein vernünftiges Konzept erstellt und den Anforderungen der Datenschutzgesetze genüge getan werden.[2]
Wichtig: Zugang zum System vereinbaren
Betriebspolitisch muss ein Zugang zum System für ausgewählte Mitglieder des Betriebsrats durchgesetzt und vereinbart werden. Denn die Kontrolle setzt einen Zugang zum System voraus.
Hierfür ist dem zuständigen Betriebsrat die erforderliche Informationstechnik zur Verfügung zu stellen. Er muss eine Benutzerkennung mit Passwort, gezielte Prüf-Berechtigungsrollen, z.B. Auditor-Rollen zum Datenschutz, erhalten. Auf dem PC muss ein SAP GUI (Graphical User Interface) installiert werden, um den Zugang zum System zu ermöglichen und die Daten des Systems sichtbar machen zu können.
In diesem Zusammenhang stellt sich zusätzlich die Frage, ob der Betriebsrat für die Überprüfung von SAP-Vereinbarungen am System das Audit Information System (AIS) nutzen oder eine SAP-Prüfsoftware einsetzen sollte. Das Audit Information System ist veraltet und sollte eigentlich nicht mehr eingesetzt werden, da SAP ab R/3 Version 4.6c das Audit Information System gar nicht mehr pflegt und entsprechende Prüfhandlungen in menübasierte Auditor-Rollen (Transaktions- und Berechtigungsrollen) zusammengefasst hat.[3]
Die Standard-Auditor-Rollen müssen immer an die betrieblichen Strukturen angepasst werden. Eigentlich ist das AIS nicht ausreichend, um damit sinnvolle Kontrollen aus der Perspektive der Betriebsrat durchzuführen.
Betriebsvereinbarungen zu SAP werden in der Praxis oftmals überhaupt nicht oder nur unsystematisch kontrolliert. Es gibt zwar mittlerweile eine Fülle von praktischen Hinweisen und Materialien zur Mitbestimmung und Überprüfung des SAP-Systems[4], dennoch werden Vereinbarungen zumeist abgeheftet und dort von der Interessenvertretung vergessen. Auch der betriebliche Datenschutzbeauftragte muss sich häufig darauf verlassen, dass »schon alles in Ordnung« ist. Erst wenn Probleme mit SAP ERP auftreten, z.B. bei Datenpannen, ist die Aufregung groß. Dann stellt sich mit Macht die Frage, wie eine Prüfung am System eigentlich funktioniert.
Ressourcen für die Prüfung von SAP ERP am System
Mit der Zeit schleichen sich häufig wesentliche Änderungen des vereinbarten SAP ERP-Systems ein: So werden Neuerungen in das System eingepflegt, aber die Anlagen zu Datenkatalogen, Auswertungen, Schnittstellen und Zugriffsberechtigungen nicht mehr fortgeschrieben. Aus diesen und anderen Gründen kommt es zu »Mitbestimmungspannen«. Der eigentliche Zweck der Betriebsvereinbarung, der Schutz von personenbezogenen Daten und die Verhinderung der Beeinträchtigung des Persönlichkeitsrechts des Einzelnen, wird so verfehlt. Kernbestimmungen der Betriebsvereinbarung sind das Papier nicht mehr wert, auf dem sie gedruckt wurden.
Doch wie kann die Einhaltung von detaillierten IT-Vereinbarungen überhaupt überwacht werden? Dies ist für den jeweiligen Betriebsrat keine leichte Aufgabe. Er muss stets aufs Neue überprüfen, ob die Regelungen in der Betriebsvereinbarung noch aktuell sind und ob die Anlagen das eingesetzte SAP-System noch richtig abbildet.
Hinweis Es ist wichtig, stets aufs Neue zu überprüfen, •ob die Regelungen in der Betriebsvereinbarung noch aktuell sind •ob die Anlagen das eingesetzte SAP-System noch richtig abbilden. |
|---|
Für die Überprüfung brauchen Interessenvertretungen gewisse Ressourcen, die ihnen von ihrem Arbeitgeber zur Verfügung zu stellen sind. Hierzu gehört:
•ausreichend Zeit,
•ein gezieltes Know-how im Hinblick auf SAP ERP,
•ein Kontrollplan bzw. ein Kontrollkonzept und
•Berechtigungen/Rollen.
Rechtliche Grundlagen für eine Kontrolle am SAP-System
Betriebsräte haben nicht nur das Recht, sondern gemäß § 80 Abs. 1 Nr. 1 BetrVG die Pflicht zu überwachen, ob sämtliche zugunsten der Beschäftigten geltenden Gesetze, Tarifverträge und Betriebsvereinbarungen eingehalten werden. Daraus leitet sich das Recht auf jederzeitige, anlassunabhängige Kontrolle von SAP-Systemen ab –auch ohne Betriebsvereinbarung. Der Arbeitgeber ist verpflichtet, den Betriebsrat dabei zu unterstützen.
Hinweis Der Arbeitgeber ist verpflichtet, den Betriebsrat bei den Kontrollen nach allen Kräften zu unterstützen. |
|---|
Bei einer Kontrolle am System kann sich eine Kooperation mit dem internen betrieblichen Datenschutzbeauftragten anbieten. Außerdem können im Einzelfall auch externe Sachverständige nach § 80 Abs. 3 BetrVG hinzugezogen werden. Der Betriebsrat hat außerdem ein Einsichtsrecht in alle bestehenden Dateien, unter Umständen auch in solche, in denen personenbezogene Daten der Beschäftigten gespeichert sind.
Prüfsoftware: Keine echte Hilfe für die Interessenvertretung
Inzwischen existieren eine ganze Reihe automatisierter Prüftools für SAP ERP (z.B. AUDITOR, mesaforte, SAST, CheckAud). Ein Tool ist ein Dienst- oder Hilfsprogramm, das für den Benutzer allgemeine Aufgaben ausführt, oft zum Lieferumfang eines Betriebssystems gehört und auf eine ganz bestimmte Aufgabe spezialisiert ist. Doch ist eine solche SAP-Prüfsoftware in der Praxis unerlässlich? Der Datenschutzleitfaden zu SAP ERP 6.0 von 2009 enthält sich jeder Stellungnahme zu SAP-Prüftools und geht nur auf das Produkt von SAP ein (SAP GRC), das auch Tools zur Zugriffs- und Berechtigungssteuerung enthält und das betriebliche vorhandene Berechtigungskonzept auf Risiken und Probleme prüft.[5]
Eine Prüfung mit einem dieser Prüftools ist aufwändig und setzt zudem viele SAP-Vorkenntnisse voraus. Die Prüfung folgt zudem nach vorgegebenen Regeln, die immer erst auf den eigenen betrieblichen Bedarf anzupassen sind, und läuft dann weitgehend automatisiert ab. Die Prüfsoftware zu SAP dient nicht primär der Unterstützung des Betriebsrats im Sinne von »Einschränkung der Leistungs- und Verhaltenskontrolle«. Die Tools vereinfachen nicht unbedingt die Prüfung für die jeweilige Interessenvertretung. Denn die Regeln, nach der die Software arbeitet, sind für Betriebsräte, die sich nicht jeden Tag mit SAP ERP beschäftigten, nur schwierig zu enträtseln. Zudem müssten die Prüfregeln bei einigen Tools auch selbst eingestellt werden. Es stellt sich die Frage, wie schwer oder einfach es ist, im Prüftool hinterlegte Prüfregeln zu modifizieren. Auch erleichtert der Einsatz von SAP-Prüfsoftware es dem Betriebsrat nicht unbedingt, SAP und die damit ablaufenden Prozesse besser zu verstehen und nachvollziehen zu können.
Hinzu kommt, dass in bestimmten Branchen (z.B. im Einzelhandel) der Einsatz solcher Prüfsoftware oftmals von den Betriebsräten ganz schwer durchsetzbar ist.
Betriebsbezogene Prüfkonzepte entwickeln
Unabhängig vom Einsatz derartiger Prüfsoftware oder des AIS ist im Sinne einer »Hilfe zur Selbsthilfe« in jedem Einzelfall vom Betriebsrat ein modulares, anpassbares und vom Umfang handhabbares Prüfkonzept zu entwickeln.
Hinweis Das betriebsbezogene Prüfkonzept sollte mitwachsen. Zu Beginn ist weniger oft mehr! |
|---|
Zu Beginn wird sich die Interessenvertretung dabei auf das Wesentliche konzentrieren und das Konzept nach jeder Prüfung fortschreiben. Prüfinhalte und -strategie verändern sich dann über die Jahre hinweg entsprechend der betrieblichen Anwendung von SAP ERP. Ein solches versionsorientiertes betriebsbezogenes SAP-Prüfkonzept sollte zudem unbedingt von den Vorkenntnissen der prüfenden Betriebsräte ausgehen und je nach betrieblichen Erfordernissen, Grad der Gefährdung des Persönlichkeitsrechts, zeitlichen Kapazitäten, Größe des Unternehmens und Zielsetzungen der Betriebsräte unterschiedlich detailliert und komplex ausgestaltet sein.
Betriebsräte sollten nicht den Anspruch erheben, alle vereinbarten SAP-Einstellungen und Regelungen sofort in einer Kontrollmaßnahme prüfen zu können. Besser ist es, sie verständigen sich zu Beginn des Kontrollprozesses darauf, schrittweise vorzugehen und zunächst nur ausgewählte, besonders wichtige Merkmale des Einsatzes von SAP ERP zu prüfen. Auch hier gilt: Weniger ist bei der Kontrolle von SAP am System oft mehr.
Es geht im Sinne der Betriebspolitik auch darum, Präsenz und Kompetenz zu zeigen und so insbesondere bei der IT-Abteilung, der Personalabteilung, bei anderen SAP-Nutzern und beim betrieblichen Datenschutzbeauftragten Aufmerksamkeit für einen datenschutzgerechten Einsatz von SAP ERP zu erzeugen. Betriebsräte sollten durch die Prüfung am System signalisieren, dass sie sich um den Einsatz von SAP ERP im Betrieb kümmern.
Kontinuierliche und anlassbezogene Prüfungen
Die Kontrolle sollte von Beginn an als ständige Aufgabe geplant werden. Sie kann monatlich, quartalsweise oder halbjährlich vorgenommen werden. Zusätzlich sollten Interessenvertretungen auf besondere Anlässe reagieren. Wenn Interessenvertretungen beispielsweise von Datenschutzpannen mit SAP oder von einem bevorstehenden Releasewechsel erfahren, können sie dies für eine erneute, anlassbezogene Prüfung nutzen.
Betriebsräte sollten sich Bündnispartner suchen, beispielsweise in der IT-Abteilung, um jederzeit an alle gewünschten Informationen über den SAP-Einsatz heranzukommen. Häufig werden die Kontrollen und der Einblick ins System paradoxerweise mit dem Hinweis auf das Bundesdatenschutzgesetz verwehrt. Dies würde jedoch den Sinn der Aufgabe, »darüber (zu) wachen, dass die zu Gunsten der Arbeitnehmer geltenden Gesetze« –und somit auch das Bundesdatenschutzgesetz –eingehalten werden, völlig auf den Kopf stellen. Denn gerade aus dieser Überwachungsaufgabe ergibt sich die Notwendigkeit, dass die Interessenvertretung Kontrollen am SAP-System vornimmt.
Der Betriebsrat muss wissen, welche personenbezogenen Daten der Arbeitnehmer gespeichert werden. Das Bundesarbeitsgericht hat dazu festgestellt, dass der Arbeitgeber verpflichtet ist, umfassend über alle Formen der Verarbeitung personenbezogener Daten der Arbeitnehmer zu unterrichten; denn der Betriebsrat ist nicht »Dritter’«, sondern Teil der verantwortlichen Stelle.[6]
Grundlagenwissen des SAP-Systems erlangen
Für eine informierte Prüfung am System benötigen Interessenvertreter Grundlagenwissen über SAP ERP, das heißt ein grundlegendes Verständnis von
•SAP-Komponenten und SAP-Lösungen,
•der Systemumgebung,
•der Navigation und Hilfe im SAP-System,
•Business Szenarien,
•der Personalwirtschaft HR/HCM und
•dem SAP-Berechtigungskonzept und den SAP-Datenschutzvorkehrungen.
Die Bedeutung und Funktionsweisen einzelner SAP-Produkte, wie z.B. SAP Business Information Warehouse und SAP NetWeaver, müssen dem Betriebsrat klar sein. Auch mit Blick auf das selbst erstellte Prüfkonzept sollte er die Begrifflichkeiten von SAP ERP nachvollziehen können.
Nicht nur am System prüfen
Betriebsräte sollten im ersten Schritt –vor einer Prüfung am System –die getroffene Betriebsvereinbarung nebst ihren Anlagen in Papierform hinzuziehen und gründlich lesen. Daraus sollten zunächst entsprechende Fragen (z.B. zum Datenkatalog oder Schnittstellenverzeichnis) formuliert und erst danach eine Überprüfung am System vorgenommen werden.
Wichtige Fragen, die auch an die Anlagen einer SAP-Vereinbarung zu stellen sind, lassen sich dem SAP-Datenschutzleitfaden entnehmen.[7] Dieser ist unter dem Gesichtspunkt des Beschäftigtendatenschutzes durchaus für Betriebsräte interessant. Er enthält besonders für Fortgeschrittene in der Prüfung von SAP am System eine Fülle von Prüfhandlungen und Prüfideen, die nach und nach, je nach betrieblichem Bedarf, in der Praxis erprobt werden können –und dies in Kooperation mit dem betrieblichen Datenschutzbeauftragten.
Berechtigungskonzept analysieren
Ganz entscheidend für das SAP-Prüfkonzept ist die Frage, wer was mit welchen personenbezogenen Daten machen darf. Hierzu ist das Berechtigungskonzept in der entsprechenden Anlage zur SAP-Vereinbarung sorgfältig zu analysieren. Es bietet sich für Interessenvertretungen an, das Berechtigungskonzept in Form einer Excel-Tabelle als Datei festzuhalten, damit es überhaupt sinnvoll nachvollzogen und überprüft werden kann.
Wenn es Berechtigungsrollen gibt, die auf sehr viele Transaktionen zugreifen dürfen, ist zu überprüfen, welche Inhaber bzw. Träger der Berechtigungen diese Rollen ausführen können. So ist SAP_All ein kritisches Profil. Es ist von SAP eingerichtet und erlaubt alle möglichen Aktivitäten. SAP_All ist aber keinesfalls die einzige umfängliche Berechtigung im SAP-System. Die Erfahrung zeigt, dass IT-Verantwortliche bei der Gestaltung von Berechtigungen viel Phantasie entwickeln, das Thema SAP_All zu umgehen und trotzdem sehr umfangreiche Berechtigungen für einzelne Nutzer zu entwickeln.
Die Einhaltung des Prinzips der »geringsten Berechtigungen« kann oftmals schon durch einfache Fragen an die verantwortlichen Personen im Unternehmen überprüft werden. Ebenso kann der interne Prozess der Berechtigungsvergabe grafisch veranschaulicht und nachgeprüft werden.
Elemente des Prüfkonzeptes und Durchführung der Prüfung
Das betriebsspezifische Prüfkonzept ist so anzulegen, dass der Betriebsrat mit der Eingabe von Kurzbefehlen (Transaktionen, Tabellenaufrufe) die entsprechenden Funktionen von SAP ERP aufrufen kann. Mit Transaktion SA38 kann so z.B. eine Liste aller vorhandenen Standardreports aufgerufen werden.
Das betriebliche SAP-Prüfkonzept sollte zunächst nur die unbedingt erforderlichen Transaktionen, Tabellen, Reports und Berechtigungen für einen Einstieg in eine langfristig angelegte Kontrolle beinhalten, am besten nicht mehr als ca. 20 Prüfhandlungen. Vollständigkeit ist dabei ausdrücklich nicht anzustreben.
Vorab sollte eine Schwachstellenanalyse durchgeführt werden, die besondere Risiken im SAP-ERP-Einsatz aus Arbeitnehmersicht identifiziert. Anschließend müssen Prioritäten im Sinne einer A-B-C-Analyse definiert werden. Schwerpunktebereiche der Kontrolle sind sicherlich das Berechtigungskonzept, Systemeinstellungen und die Protokollierung von Administrationstätigkeiten.
Jede Prüfung ist zu dokumentieren und auszuwerten. Neue, sich ergebende Fragen und Problemfelder sind gegebenenfalls mit weiteren Prüfhandlungen zu bearbeiten und im Prüfkonzept fortzuschreiben. Kooperationsmöglichkeiten mit internen und externen Datenschutzbeauftragten, Systemadminis-tratoren und IT-Sicherheitsbeauftragten sind, wann immer möglich, zu nutzen.
Und noch ein Tipp aus der Praxis. Kontrolliert wird im Sinne des Gesetzes der Arbeitgeber. In der Regel wird für die Kontrollen am System, wenn der Betriebsrat keinen eigenen SAP-Zugang und keine eigene Rolle hat, die Hilfe der Kolleginnen und Kollegen aus der IT- und Personalabteilung benötigt. Es liegt auf der Hand, dass deren Auskunftsfreudigkeit sicher nicht gesteigert wird, wenn sie sich durch die Interessenvertretung überwacht fühlen. Meistens haben diese Anwender selbst ein Interesse daran, dass alles vorschriftsmäßig und gesetzeskonform läuft und die geltenden Datenschutzregeln eingehalten werden. Es ist also etwas Fingerspitzengefühl bei der Ankündigung und Durchführung der Kontrolle erforderlich.